Geekly articles weekly

Tinjauan undang-undang Rusia untuk melindungi infrastruktur informasi penting

Teman-teman, dalam publikasi sebelumnya kami memeriksa perlindungan data pribadi dari sudut pandang undang-undang Rusia dan internasional. Namun, ada topik mendesak lainnya mengenai sejumlah besar perusahaan dan organisasi Rusia - kita berbicara tentang melindungi infrastruktur informasi penting. Keamanan dan ketahanan sistem TI baik perusahaan besar individu dan seluruh industri dalam kondisi modern memainkan peran yang menentukan. Di seluruh dunia, berbagai upaya sedang dilakukan untuk melakukan serangan siber yang ditargetkan dan canggih pada infrastruktur, dan akan sangat berpandangan jauh untuk mengabaikan fakta-fakta semacam itu. Pembentukan SOPKA Negara (sistem negara untuk mendeteksi, mencegah dan menghilangkan konsekuensi dari serangan komputer terhadap sumber daya informasi dari Federasi Rusia), serta penandatanganan Undang-Undang Federal 26 Juli 2017 No. 187-FZ “Tentang Keamanan Infrastruktur Informasi Penting Infrastruktur Federasi Rusia” dan pengembangan undang-undang terkait yang dilayani jawaban logis untuk tantangan realitas saat ini.

Pertimbangkan aspek keamanan informasi ini secara lebih rinci. Silakan!

gambar

Poin-Poin Utama


Permulaan pekerjaan untuk melindungi infrastruktur informasi dalam skala nasional ditandatangani dengan Keputusan Presiden Federasi Rusia tertanggal 15 Januari 2013 No. 31c “Tentang penciptaan sistem negara untuk mendeteksi, mencegah, dan menghilangkan konsekuensi dari serangan komputer terhadap sumber daya informasi dari Federasi Rusia”. Selanjutnya, pada Juli 2017, Undang - Undang Federal 26 Juli 2017 No. 187-FZ "Tentang Keamanan Infrastruktur Informasi Kritis Federasi Rusia" ditandatangani, yang mulai berlaku pada 1 Januari 2018. Infrastruktur informasi kritis (selanjutnya - KII) mengacu pada sistem informasi, jaringan informasi dan telekomunikasi, sistem kontrol otomatis subjek KII, serta jaringan telekomunikasi yang digunakan untuk mengatur interaksi mereka. Subjek dari KII adalah perusahaan yang beroperasi di bidang yang secara strategis penting bagi negara, seperti layanan kesehatan, ilmu pengetahuan, transportasi, komunikasi, energi, perbankan, bahan bakar dan kompleks energi, di bidang energi nuklir, pertahanan, roket dan ruang angkasa, pertambangan, industri metalurgi dan kimia , serta organisasi yang memastikan interaksi sistem atau jaringan KII. Serangan komputer didefinisikan sebagai efek berbahaya yang ditargetkan pada objek KII untuk melanggar atau menghentikan fungsinya, dan insiden komputer - sebagai fakta pelanggaran atau penghentian operasi KII dan / atau pelanggaran keamanan informasi yang diproses oleh objek.

Perlu juga dicatat bahwa bagi perusahaan di kompleks bahan bakar dan energi ada standar yang ditentukan oleh Undang - Undang Federal 21 Juli 2011 No. 256- “Tentang Keamanan Fasilitas Kompleks Bahan Bakar dan Energi”, yang juga menentukan kebutuhan untuk memastikan keamanan sistem informasi bahan bakar dan fasilitas energi -energi kompleks dengan menciptakan sistem perlindungan informasi dan jaringan informasi dan telekomunikasi dari akses ilegal, perusakan, modifikasi, pemblokiran informasi dan ilegal lainnya tindakan, serta kebutuhan untuk memastikan berfungsinya sistem tersebut.

FSTEC Rusia ditunjuk oleh badan eksekutif federal yang berwenang di bidang keamanan infrastruktur informasi kritis Federasi Rusia. Layanan Keamanan Federal Federasi Rusia dipercayakan dengan fungsi-fungsi badan eksekutif federal yang berwenang untuk memastikan berfungsinya sistem negara untuk mendeteksi, mencegah, dan menghilangkan konsekuensi dari serangan komputer terhadap sumber daya informasi Federasi Rusia (selanjutnya disebut sebagai GosSOPKA). Selain itu, atas perintah Layanan Keamanan Federal Federasi Rusia pada tahun 2018, Pusat Koordinasi Nasional untuk Insiden Komputer (NCCTC) didirikan, yang mengoordinasikan kegiatan mata pelajaran KII dan merupakan bagian integral dari pasukan yang dirancang untuk mendeteksi, mencegah dan menghilangkan konsekuensi dari serangan komputer dan menanggapi insiden komputer, dan teknis Infrastruktur NCCCI digunakan untuk berfungsinya sistem SSSOPKA. Dengan kata sederhana, NCCTC adalah CERT negara (Computer Emergency Response Team), dan SOPCA Negara adalah "SIEM besar" pada skala Federasi Rusia. Fungsinya sebagai berikut: informasi tentang insiden komputer yang telah terjadi dalam jumlah yang sesuai dengan ketentuan Orde Dinas Keamanan Federal Federasi Rusia No. 367 (tanggal, waktu, perincian teknis, dan konsekuensi dari insiden tersebut dan hubungannya dengan insiden lain, lokasi objek KII, keberadaan koneksi antara serangan yang teridentifikasi dan insiden itu), harus ditransfer oleh subjek KII ke sistem SOPKA Negara selambat-lambatnya 24 jam setelah ditemukannya insiden komputer. Pada saat yang sama, ada kecenderungan transisi menuju pengiriman data otomatis.

Kemudian, Keputusan Pemerintah Federasi Rusia tanggal 8 Februari 2018 No. 127 “Atas persetujuan Peraturan untuk mengkategorikan objek infrastruktur informasi kritis dari Federasi Rusia, serta Daftar indikator kriteria untuk pentingnya objek infrastruktur informasi penting dari Federasi Rusia dan nilai-nilainya” ditandatangani, yang memberlakukan persyaratan khusus untuk mata pelajaran CII pada kategorisasi objek KII di bidang tanggung jawabnya, dan juga berisi daftar kriteria untuk signifikansi objek KII - kuantitatif oleh azateley untuk pilihan yang tepat tentang pentingnya kategori. Kategori signifikansi objek KII dapat mengambil salah satu dari tiga nilai (di mana kategori tertinggi adalah yang pertama, yang terendah adalah yang ketiga) dan tergantung pada indikator kuantitatif dari signifikansi objek ini di bidang sosial, politik, ekonomi, dan pertahanan. Misalnya, jika insiden komputer di fasilitas KII dapat mengakibatkan kerusakan pada jiwa dan kesehatan lebih dari 500 warga, maka fasilitas tersebut ditetapkan sebagai kategori pertama maksimum, dan jika layanan transportasi sebagai akibat dari insiden tersebut mungkin tidak tersedia untuk 2 ribu - 1 juta warga, maka fasilitas tersebut ditugaskan minimum kategori ketiga.

Jadi, objek KII harus dikategorikan. Ini dilakukan oleh komisi internal permanen untuk mengkategorikan subjek KII, yang juga menghasilkan dan mendokumentasikan tindakan berikut:

  • mengidentifikasi objek CII yang menyediakan manajerial, teknologi, produksi, keuangan dan ekonomi dan (atau) proses lainnya (kami akan menyebutnya "proses utama dari subjek CII") dalam kerangka kegiatan kegiatan subjek CII;
  • mengidentifikasi proses kritis, pelanggaran atau penghentian yang dapat menyebabkan konsekuensi negatif dalam bidang sosial, politik, ekonomi dan pertahanan;
  • menetapkan objek KII yang memproses informasi untuk proses yang dijelaskan di atas dan / atau melaksanakan manajemen, kontrol atau pemantauan proses kritis (kami akan menyebutnya "objek KII tambahan");
  • membuat model pelanggar dan ancaman, sementara komisi harus mempertimbangkan skenario serangan terburuk dengan konsekuensi negatif maksimum;
  • menilai kemungkinan konsekuensi, dengan mempertimbangkan interkoneksi antara objek dan dependensi di antara mereka;
  • memberikan setiap objek satu dari tiga kategori signifikansi atau membuat keputusan yang beralasan untuk tidak menetapkan kategori seperti itu, dengan persiapan tindakan mengkategorikan objek CII atau tindakan pada tidak adanya kebutuhan untuk menetapkan kategori signifikansi untuk itu.

Hasil kategorisasi dikirim ke FSTEC Rusia, di mana kebenaran prosedur kategorisasi dan kebenaran penugasan kategori signifikansi diperiksa, dan jika tidak ada komentar, informasi yang diterima dimasukkan ke dalam register objek KII. Tinjauan berkala (1 kali dalam 5 tahun) dan terencana (ketika mengubah indikator kriteria signifikansi) diberikan ulasan kategori signifikansi yang disediakan.

Kaus kaki negara


Sesuai dengan dokumen No. 149/2 / 7-200 tanggal 24 Desember 2016 "Rekomendasi metodis untuk pembentukan pusat departemen dan perusahaan dari sistem negara untuk mendeteksi, mencegah dan menghilangkan konsekuensi dari serangan komputer terhadap sumber daya informasi dari Federasi Rusia" yang dikembangkan oleh Layanan Keamanan Federal Federasi Rusia, fungsi dari SOPKA Negara adalah:

  • inventarisasi sumber informasi;
  • mengidentifikasi kerentanan dalam sumber daya informasi;
  • analisis ancaman terhadap keamanan informasi;
  • pelatihan lanjutan untuk sumber daya informasi;
  • menerima pesan tentang kemungkinan insiden dari personel dan pengguna sumber daya informasi;
  • deteksi serangan komputer;
  • analisis data peristiwa keamanan;
  • insiden logging;
  • respons dan respons insiden;
  • menetapkan penyebab insiden;
  • analisis hasil penghapusan konsekuensi dari insiden.

Pusat-pusat sistem GosSOPKA dibagi menjadi departemen dan perusahaan:

  • Pusat departemen melakukan kegiatan berlisensi untuk melindungi sumber daya informasi untuk kepentingan otoritas publik;
  • Pusat Perusahaan melakukan kegiatan berlisensi untuk melindungi sumber daya informasi untuk kepentingan mereka sendiri, dan juga memiliki hak untuk menyediakan layanan untuk pencegahan, deteksi, dan penghapusan konsekuensi dari serangan komputer.

Jika kita dapat menyebut sistem GosSOPKA itu sendiri secara berlebihan sebagai "SIEM besar" secara nasional, maka Pusat GosSOPKA akan dibandingkan dengan benar dengan Pusat Pemantauan Keamanan Informasi (Pusat Operasi Keamanan Keamanan, SOC).

Jadi, subjek KII terkait dengan otoritas negara, sesuai dengan standar legislatif saat ini, harus terhubung ke Pusat departemen yang relevan dari Perlindungan Sosial dan Sistem Sertifikasi Negara. Subjek KII, yang bukan otoritas publik, memiliki kesempatan untuk terhubung secara independen ke sistem GosSOPKA, baik membuat Pusat Perusahaan GosSOPKA sendiri, atau terhubung ke Pusat yang sudah dibuat yang menyediakan layanan untuk menghubungkan ke sistem GosSOPKA.

Dengan koneksi independen ke Pusat SOPKA Negara, subjek KII harus menyelesaikan tugas-tugas berikut:

  • pembentukan Pusat Pemantauan Keamanan Informasi sendiri, dengan mempertimbangkan persyaratan dokumen pengatur Layanan Keamanan Federal Federasi Rusia, FSTEC Rusia, tindakan hukum pengaturan lainnya;
  • implementasi dan dukungan alat-alat teknis dan solusi yang sesuai dengan rekomendasi metodologis dari Layanan Keamanan Federal Federasi Rusia pada penciptaan pusat-pusat departemen dan perusahaan dari sistem negara untuk mendeteksi, mencegah dan menghilangkan konsekuensi dari serangan komputer pada sumber daya informasi dari Federasi Rusia;
  • implementasi dan dukungan alat dan solusi teknis yang memenuhi persyaratan FSTEC dari pemegang lisensi Rusia untuk memantau keamanan informasi dari alat dan sistem pemantauan;
  • Memperoleh lisensi dari FSTEC Rusia untuk perlindungan teknis informasi rahasia (TZKI) mengenai daftar pekerjaan dan layanan untuk memantau keamanan informasi alat dan sistem pemantauan (dalam hal memberikan layanan komersial kepada organisasi lain atau ketika bekerja sebagai bagian dari struktur holding);
  • Memperoleh lisensi dari Dinas Keamanan Federal Federasi Rusia untuk pengembangan, produksi, distribusi sarana enkripsi (kriptografi), sistem informasi dan sistem telekomunikasi yang dilindungi menggunakan sarana enkripsi (kriptografi), melakukan pekerjaan, memberikan layanan di bidang enkripsi informasi, pemeliharaan enkripsi (kriptografi) , sistem informasi dan sistem telekomunikasi yang dilindungi menggunakan sarana enkripsi (kriptografi) (jika disediakan layanan mmercheskih ke organisasi lain, atau bekerja sebagai bagian dari struktur holding);
  • interaksi dengan NCCSC sesuai dengan aturan interaksi antara unit-unit FSB Federasi Rusia dan mata pelajaran GosSOPKA dalam pelaksanaan pertukaran informasi di bidang deteksi, pencegahan dan penghapusan serangan komputer;
  • daya tarik, pelatihan, retensi karyawan Pusat Pemantauan Keamanan Informasi;
  • pengembangan dan pembaruan terus menerus skenario serangan dan pemantauan;
  • analisis peristiwa dan insiden, gedung pelaporan.

Menghubungkan ke pusat eksternal (komersial) GosSOPKA, yang menyediakan layanan yang relevan, memungkinkan Anda untuk mentransfer sebagian besar tugas di atas ke organisasi khusus. Semua yang diperlukan pelanggan adalah untuk menghubungkan sumber acara ke pusat komersial GosSOPKA, menyetujui format dan aturan interaksi, dan memberitahukan perubahan infrastruktur infrastruktur TI secara tepat waktu. Selain itu, dengan menggunakan layanan dari pusat eksternal GosSOPKA, organisasi mentransfer risiko pelanggar dengan undang-undang Federasi Rusia di bidang bisnis ilegal (Pasal 171 KUHP Federasi Rusia) dalam hal melakukan kegiatan tanpa lisensi yang sesuai dari Layanan Keamanan Federal dan / atau FSTEC Rusia.

Sistem kontrol proses


Mari kita beralih ke prinsip perlindungan sistem kontrol otomatis untuk proses produksi dan teknologi. Orde FSTEC Rusia tertanggal 14 Maret 2014 No. 31 “Mengenai Persetujuan Persyaratan untuk Perlindungan Informasi dalam Sistem Kontrol Otomatis untuk Proses Produksi dan Teknologi di Fasilitas-Fasilitas Penting, Fasilitas Berbahaya yang Berpotensi, serta Fasilitas yang meningkatkan bahaya bagi kehidupan manusia dan kesehatan dan untuk lingkungan lingkungan ”(sebagaimana telah diubah oleh Orde FSTEC Rusia tanggal 9 Agustus 2018 No. 138) menetapkan persyaratan legislatif di bidang memastikan keamanan sistem kontrol otomatis untuk pembuatan proses tunggal dan teknologi (selanjutnya - sistem kontrol proses). Terlepas dari adanya dua bidang perlindungan KII yang tampaknya berlipat ganda (187- pada KII dengan peraturan perundang-undangan dan Orde No. 31 yang ditunjukkan pada sistem kontrol proses), saat ini, regulator negara tetap berpegang pada sudut pandang berikut: jika objek KII diakui sebagai signifikan (mis. Ditugaskan salah satu dari tiga kategori signifikansi), maka Urutan FSTEC tanggal 25 Desember 2017 No. 239 "Atas persetujuan persyaratan untuk memastikan keamanan objek signifikan infrastruktur informasi kritis Federasi Rusia" digunakan, dan jika objek KII diakui sebagai dikenali (yaitu, kategori signifikansi tidak ditugaskan), maka, dengan keputusan subjek KII, dimungkinkan untuk menerapkan Orde No. 31 untuk sistem kontrol proses dan Orde No. 239 untuk KII.

Sesuai dengan Pesanan No. 31, objek perlindungan dalam sistem kontrol proses adalah informasi tentang parameter atau kondisi objek atau proses yang dikelola, serta semua sarana teknis terkait (workstation, server, saluran komunikasi, pengontrol), perangkat lunak, dan peralatan pelindung. Dokumen ini menunjukkan bahwa langkah-langkah organisasi dan teknis yang diambil untuk melindungi sistem kontrol proses harus, pertama-tama, memastikan aksesibilitas dan integritas informasi yang diproses dalam sistem kontrol proses, dan memastikan kerahasiaan ditempatkan secara logis di tempat kedua. Selain itu, diindikasikan bahwa tindakan yang diambil harus diselaraskan dengan tindakan untuk memastikan jenis keselamatan lainnya, misalnya, industri, kebakaran, lingkungan, dan tidak boleh memengaruhi fungsi sistem kontrol proses secara rutin. Persyaratan juga dikenakan pada sistem perlindungan informasi dalam sistem kontrol proses - mereka harus lulus penilaian kesesuaian.

Dokumen tersebut menjelaskan langkah-langkah organisasi untuk melindungi informasi (selanjutnya - ZI) dalam sistem kontrol proses: pembentukan persyaratan untuk sistem kontrol proses, pengembangan dan implementasi sistem kontrol sistem kontrol proses, penyediaan sistem kontrol proses selama operasi sistem kontrol proses dan selama dekomisioning. Pada tahap pembentukan persyaratan, pekerjaan penting dilakukan pada klasifikasi sistem kontrol proses: satu dari tiga kelas keamanan ditetapkan (di mana kelas terendah adalah yang ketiga, yang tertinggi adalah yang pertama), dan kelas keamanan ditentukan tergantung pada tingkat signifikansi informasi yang sedang diproses, yaitu. tingkat potensi kerusakan dari pelanggaran terhadap properti keamanannya (integritas, ketersediaan dan, jika berlaku, kerahasiaan). Tingkat kerusakan dapat tinggi (keadaan darurat skala federal atau antar-daerah), sedang (keadaan darurat skala regional atau antar-kota) atau rendah (insiden bersifat lokal).

Selain klasifikasi sistem kontrol proses, pada tahap pembentukan persyaratan, ancaman keamanan kontrol proses ditentukan dengan menyusun model ancaman: sumber ancaman diidentifikasi, kemampuan pelanggar dinilai (mis., Model pelanggar dibuat), kerentanan sistem yang digunakan dianalisis, kemungkinan cara penerapan ancaman dan konsekuensinya ditentukan, sementara harus digunakan FDTC FSTEC Rusia. Pentingnya menciptakan model penyusup pada tahap ini juga terletak pada kenyataan bahwa langkah-langkah perlindungan yang diterapkan dalam sistem kontrol industri dari kelas keamanan 1 harus menetralisir tindakan penyusup dengan potensi tinggi, dalam sistem kontrol otomatis kelas keamanan kedua - penyusup dengan potensi tidak lebih rendah dari rata-rata, dalam sistem kontrol otomatis Keamanan kelas 3 - penyusup dengan potensi rendah (potensi pelanggar diberikan definisi pada halaman BDU).

Selanjutnya, Pesanan No. 31 menawarkan algoritme untuk pemilihan dan penerapan langkah-langkah untuk memastikan keamanan, sudah akrab bagi kita dari Pesanan FSTEC Rusia No. 21 (PDN) dan No. 17 (GIS): pertama, serangkaian tindakan dasar dipilih berdasarkan daftar yang diusulkan, kemudian dasar yang dipilih disesuaikan. seperangkat tindakan, yang mengandaikan pengecualian langkah-langkah dasar yang tidak relevan tergantung pada karakteristik sistem informasi dan teknologi yang digunakan, maka serangkaian langkah-langkah dasar yang diadaptasi ditentukan untuk menetralisir ancaman saat ini yang sebelumnya tidak dipilih erami, dan akhirnya Selain itu dilakukan satu set inti proksimat disesuaikan langkah-langkah yang ditetapkan oleh dokumen-dokumen hukum yang berlaku lainnya. Pada saat yang sama, Pesanan No. 31 menekankan pentingnya kesinambungan proses teknologi:mengkompensasi langkah-langkah perlindungan dapat diterapkan jika terjadi dampak negatif yang diprediksi pada operasi reguler sistem kontrol proses.

Dalam Pesanan No. 31 kelompok tindakan berikut untuk memastikan keamanan sistem kontrol ditunjukkan, yang harus diterapkan tergantung pada kelas perlindungan yang diperlukan dari sistem kontrol:

  • identifikasi dan otentikasi;
  • kontrol akses;
  • pembatasan lingkungan perangkat lunak;
  • perlindungan media penyimpanan komputer;
  • audit keamanan;
  • perlindungan antivirus;
  • pencegahan intrusi (serangan komputer);
  • memastikan integritas;
  • aksesibilitas;
  • perlindungan perangkat keras dan sistem;
  • perlindungan sistem informasi (otomatis) dan komponennya;
  • respons terhadap insiden komputer;
  • manajemen konfigurasi;
  • manajemen pembaruan perangkat lunak;
  • perencanaan keselamatan;
  • penyediaan tindakan dalam situasi darurat;
  • staf informasi dan pelatihan.

Pada saat yang sama, dokumen tersebut menekankan bahwa ketika menerapkan cara teknis perlindungan informasi, pertama-tama, perlu untuk menggunakan fungsionalitas pelindung standar dari sistem yang digunakan dalam sistem kontrol proses, dan kemudian SZI yang dilapiskan, yang juga memiliki persyaratan tertentu: jika SZI bersertifikat digunakan untuk melindungi informasi dalam sistem kontrol proses, maka perlu dipandu oleh persyaratan untuk kelas mereka, serta untuk kelas CBT dan tingkat kontrol tidak adanya NDV, yang dijelaskan dalam paragraf 24 dari Pesanan No. 31.

Keamanan Objek CII Signifikan


Sekarang mari kita pertimbangkan salah satu dari undang-undang utama tentang perlindungan benda-benda KII, yaitu Orde FSTEC Rusia tertanggal 25 Desember 2017 No. 239 “Atas persetujuan persyaratan untuk memastikan keamanan objek signifikan dari infrastruktur informasi penting Federasi Rusia”.

Persyaratan yang ditetapkan dalam Orde FSTEC Rusia No. 239 disajikan untuk sistem informasi, sistem kontrol otomatis, dan jaringan telekomunikasi dan informasi objek KII yang signifikan. Kriteria untuk mengklasifikasikan objek KII sebagai signifikan dijelaskan dalam Keputusan Pemerintah No. 127, yang dijelaskan di atas. Pemenuhan persyaratan pesanan dianggap mengasumsikan bahwa kategorisasi objek KII telah dilakukan sebelumnya, sekali lagi sesuai dengan standar PP-127. Selain benda-benda penting, sesuai dengan keputusan subjek KII, norma-norma dokumen yang dimaksud dapat diterapkan pada benda-benda tidak penting, serta persyaratan Pesanan No. 31. Dalam Pesanan No. 239, secara terpisah ditunjukkan bahwa objek KII yang memproses PD juga tunduk pada standar perlindungan PD, dan jika objek KII adalah GISIS,kemudian norma-norma Ordo FSTEC Rusia No. 17 untuk perlindungan GIS diterapkan dan sertifikasi objek signifikan KII dilakukan.

Pesanan No. 239 menunjukkan bahwa pengembangan langkah-langkah ZI dari fasilitas CII yang signifikan harus mencakup analisis ancaman keamanan dan pengembangan model ancaman, dan langkah-langkah perlindungan yang diterapkan tidak boleh berdampak buruk terhadap pengoperasian fasilitas itu sendiri. Seperti dalam Pesanan No. 31, analisis ancaman harus mencakup mengidentifikasi sumber ancaman, menilai kemampuan pelanggar (yaitu, membuat model pelanggar), menganalisis kerentanan sistem yang digunakan (termasuk pengujian penetrasi - pentest), mengidentifikasi kemungkinan cara untuk mengimplementasikan ancaman dan konsekuensinya, dalam hal ini, FSTEC Rusia harus digunakan.

Pesanan No. 239 secara khusus menetapkan bahwa dalam hal pengembangan perangkat lunak baru sebagai bagian dari subsistem keamanan objek KII yang signifikan, standar untuk pengembangan perangkat lunak yang aman harus diterapkan. Saat menggunakan SZI, prioritas diberikan pada fungsi pelindung standar, dan ketika merespons insiden komputer, diperlukan untuk mengirim informasi tentang mereka ke sistem SOPKA Negara.

Daftar langkah-langkah organisasi dan teknis yang disediakan oleh ketentuan pesanan ini, tergantung pada kategori signifikansi objek KII dan ancaman terhadap keamanan informasi, menunjukkan item yang mirip dengan yang ada dalam Pesanan No. 31:

  • identifikasi dan otentikasi;
  • kontrol akses;
  • pembatasan lingkungan perangkat lunak;
  • perlindungan media penyimpanan komputer;
  • audit keamanan;
  • perlindungan antivirus;
  • pencegahan intrusi (serangan komputer);
  • ;
  • ;
  • ;
  • () ;
  • ;
  • ;
  • ;
  • ;
  • ;
  • .

Algoritma untuk memilih dan menerapkan langkah-langkah perlindungan yang dijelaskan dalam Pesanan No. 239 pada dasarnya mirip dengan algoritma Pesanan No. 31 (serta Pesanan No. 17 dan No. 21 untuk perlindungan masing-masing SIG dan PD), kecuali bahwa tahap penyempurnaan set tindakan dasar yang disesuaikan disertakan. dalam tahap adaptasi set dasar. Jadi, pertama-tama pilihan dibuat dari serangkaian tindakan dasar untuk kategori signifikansi yang sesuai dari objek CII berdasarkan daftar yang diusulkan dalam Ordo. Kemudian, serangkaian langkah-langkah dasar yang dipilih diadaptasi, yang menyiratkan pengecualian langkah-langkah dasar yang tidak relevan tergantung pada teknologi yang digunakan dan karakteristik objek KII, serta dimasukkannya dalam set langkah-langkah lain yang diperlukan untuk menetralisir ancaman saat ini. Akhirnya, perangkat yang diadaptasi dilengkapi dengan langkah-langkah yang ditetapkan oleh dokumen hukum resmi lainnya yang berlaku, misalnya,tentang perlindungan informasi dalam GIS, ISPDn, perlindungan informasi kriptografis, dll. Dokumen tersebut juga menyatakan bahwa jika langkah-langkah keamanan industri, fungsional atau fisik sudah diterapkan di fasilitas KII untuk menetralisir ancaman saat ini terhadap keamanan informasi, maka langkah-langkah perlindungan tambahan mungkin tidak diterapkan. Selain itu, dengan analogi dengan Pesanan No. 31, pentingnya kelangsungan operasi objek CII dan tidak adanya dampak negatif terhadapnya dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.perlindungan informasi kriptografis, dll. Dokumen tersebut juga menyatakan bahwa jika langkah-langkah keamanan industri, fungsional atau fisik sudah diterapkan di fasilitas KII untuk menetralisir ancaman saat ini terhadap keamanan informasi, maka langkah-langkah perlindungan tambahan mungkin tidak diterapkan. Selain itu, dengan analogi dengan Pesanan No. 31, pentingnya kelangsungan operasi objek CII dan tidak adanya dampak negatif terhadapnya dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.perlindungan informasi kriptografis, dll. Dokumen tersebut juga menyatakan bahwa jika langkah-langkah keamanan industri, fungsional atau fisik sudah diterapkan di fasilitas KII untuk menetralisir ancaman saat ini terhadap keamanan informasi, maka langkah-langkah perlindungan tambahan mungkin tidak diterapkan. Selain itu, dengan analogi dengan Pesanan No. 31, pentingnya kelangsungan operasi objek CII dan tidak adanya dampak negatif terhadapnya dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.bahwa jika langkah-langkah keamanan industri, fungsional atau fisik sudah diterapkan di fasilitas KII untuk menetralisir ancaman saat ini terhadap keamanan informasi, maka langkah-langkah perlindungan tambahan mungkin tidak diterapkan. Selain itu, dengan analogi dengan Pesanan No. 31, pentingnya kelangsungan operasi objek CII dan tidak adanya dampak negatif terhadapnya dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.bahwa jika langkah-langkah keamanan industri, fungsional atau fisik sudah diterapkan di fasilitas KII untuk menetralisir ancaman saat ini terhadap keamanan informasi, maka langkah-langkah perlindungan tambahan mungkin tidak diterapkan. Selain itu, dengan analogi dengan Pesanan No. 31, pentingnya kelangsungan operasi fasilitas CII dan tidak adanya dampak negatif pada hal itu dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.cukup untuk menetralisir ancaman saat ini terhadap keamanan informasi, maka tindakan perlindungan tambahan mungkin tidak diterapkan. Selain itu, dengan analogi dengan Pesanan No. 31, pentingnya kelangsungan operasi objek CII dan tidak adanya dampak negatif terhadapnya dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.cukup untuk menetralisir ancaman saat ini terhadap keamanan informasi, maka tindakan perlindungan tambahan mungkin tidak diterapkan. Selain itu, dengan analogi dengan Pesanan No. 31, pentingnya kelangsungan operasi objek CII dan tidak adanya dampak negatif terhadapnya dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.pentingnya kelangsungan operasi objek CII dan tidak adanya dampak negatif terhadapnya dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.pentingnya kelangsungan operasi objek CII dan tidak adanya dampak negatif terhadapnya dengan langkah-langkah yang diterapkan ditekankan: subjek CII dapat menerapkan langkah-langkah kompensasi yang lebih tepat daripada yang dasar, yang akan memblokir ancaman keamanan yang relevan dengan objek CII. Selain itu, langkah-langkah kompensasi harus diterapkan ketika menggunakan solusi TI baru dan mengidentifikasi ancaman baru yang tidak diperhitungkan oleh pengembang Ordo.

Persyaratan juga dikenakan pada SZI itu sendiri: adalah mungkin untuk menggunakan cara yang telah dievaluasi untuk kepatuhan dengan persyaratan keselamatan dalam bentuk tes, penerimaan atau sertifikasi wajib. Tes dan penerimaan dilakukan oleh subyek KII secara independen atau dengan bantuan pemegang lisensi FSTEC Rusia. Ketika menggunakan SPI bersertifikat, persyaratan untuk mereka adalah sebagai berikut: di fasilitas kategori signifikansi 1, perlu menggunakan SPI setidaknya dari kelas perlindungan 4, di fasilitas kategori 2 - SPI setidaknya dari kelas 5, dan di fasilitas dari kategori 3 - SZI tidak lebih rendah dari kelas 6; pada saat yang sama, pada objek signifikan dari semua kategori, diperlukan untuk menggunakan SVT setidaknya kelas 5.

Menarik juga bahwa dalam Pesanan No. 239 persyaratan juga diberikan kepada tingkat kepercayaan SZI. Tingkat kepercayaan (selanjutnya - UD) ditentukan sesuai dengan Urutan FSTEC Rusia No. 131 tanggal 30 Juli 2018, di mana enam UD didirikan (terendah adalah yang ke-6, yang tertinggi adalah yang ke-1). Jadi, pada objek dari kategori 1 signifikansi, SZI yang sesuai dengan UD ke-4 atau lebih tinggi harus diterapkan, pada objek dari kategori 2 - SZI yang sesuai dengan UD ke-5 atau lebih tinggi, dan pada objek dari kategori ke-3 - SZI, sesuai dengan UD ke-6 atau lebih tinggi. Perhatikan bahwa klausa pada tingkat kepercayaan SIS yang diterapkan diperkenalkan pada Maret 2019 setelah versi awal Ordo dikeluarkan: sebelumnya, persyaratan diberlakukan pada tingkat kontrol tidak adanya kapabilitas yang tidak dideklarasikan (pada objek kategori 1 dan 2 diperlukan untuk menggunakan SIS yang lulus tes pada NDV tingkat 4),tetapi dengan dikeluarkannya Ordo No. 131 yang disebutkan di atas, yang mulai berlaku pada Juni 2019, persyaratan dokumen panduan NDV benar-benar tidak ada lagi.

Selain itu, Pesanan No. 239 menekankan bahwa pada fasilitas kategori pertama yang penting sebagai router perbatasan, perangkat yang disertifikasi untuk kepatuhan dengan persyaratan keamanan informasi harus digunakan, dan jika tidak dapat digunakan, fungsi keamanan router perbatasan biasa harus dievaluasi pada penerimaan atau tes benda signifikan KII.

Selain yang disebutkan sebelumnya, Pesanan menunjukkan pentingnya menggunakan SZI, yang disediakan dengan garansi dan / atau dukungan teknis, serta kemungkinan pembatasan penggunaan perangkat lunak / perangkat keras atau SZI (tampaknya, risiko sanksi dimaksudkan). Juga diindikasikan bahwa pada fasilitas KII yang signifikan, diharuskan untuk melarang akses jarak jauh dan lokal yang tidak terkendali untuk memperbarui atau mengelola orang yang bukan karyawan subjek KII, serta untuk melarang transfer informasi yang tidak terkendali dari fasilitas KII ke pabrik atau orang lain. Selain itu, semua perangkat lunak dan perangkat keras fasilitas KII dari kategori penting 1 harus ditempatkan di wilayah Federasi Rusia (dengan pengecualian kasus yang ditentukan oleh hukum).

Seperti yang dapat kita lihat, Pesanan No. 239, terlepas dari struktur yang mirip dengan pesanan lain dari FSTEC Rusia, memiliki sejumlah inovasi: ini adalah persyaratan untuk kepatuhan ISA dengan tingkat kepercayaan, dan menyebutkan risiko sanksi, dan peningkatan perhatian untuk memastikan keamanan interaksi jaringan. Perlu dicatat bahwa urutan ini adalah kunci dalam memenuhi persyaratan untuk perlindungan objek KII, sehingga subjek KII harus mempelajari ketentuannya dengan perhatian khusus.

Tanggung jawab


Tanggung jawab untuk pengaruh yang melanggar hukum pada KII Federasi Rusia diatur dalam Pasal 274.1 KUHP. Artikel ini diperkenalkan oleh Undang - Undang Federal No. 194 tanggal 26 Juli 2017 dan berlaku mulai 01.01.2018. Sesuai dengan artikel ini, berikut ini dapat dihukum:

  • , ;
  • ;
  • , , ;
  • , , , ;
  • , (.. 1 ); , 10 .

Harus diingat bahwa efek dari artikel ini berlaku untuk objek KII yang signifikan dan tidak signifikan. Juga, norma ini tidak memperhitungkan apa kategori signifikansi objek yang diserang KII, juga tidak memperhitungkan apakah ia dikategorikan sama sekali. Ukuran kerusakan yang disebabkan adalah tanda penilaian dan ditentukan oleh pengadilan. Departemen investigasi FSB Federasi Rusia akan menyelidiki kejahatan-kejahatan ini, dan ukuran pengekangan selama periode investigasi adalah penempatan di bawah penangkapan di pusat penahanan pra-ajudikasi. Perlu juga dicatat bahwa "leluhur" dari artikel ini adalah Pasal 274.- saat ini memiliki aplikasi yang agak terbatas karena kata-kata yang tidak jelas dan sifat rujukan, sehingga jumlah kasus pidana di dalamnya dihitung dalam satuan (dan sebelum 2013 tidak ada sama sekali). Praktik penegakan hukum yang dikenal publik di bawah Pasal 274.1 yang baru saat ini sangat terbatas: misalnya, pada bulan Mei tahun ini keputusan dibuat dalam kasus serangan DDoS di situs Roskomnadzor, pada bulan September tiga warga negara dihukum karena serangan terhadap fasilitas KII menggunakan virus enkripsi, dan pada bulan Oktober, vonis dikeluarkan untuk "mengeringkan" data pribadi pelanggan dari operator telekomunikasi.

Selain tanggung jawab pidana di atas, subyek dan pejabat KII juga sedang menunggu kemungkinan hukuman administratif: saat ini, amandemen terhadap Kode Pelanggaran Administrasi Federasi Rusia dipertimbangkan, yang menyiratkan pengenalan dua artikel baru dan denda moneter yang signifikan atas pelanggaran mereka:

  • Artikel 13.12.1 "Pelanggaran persyaratan di bidang memastikan keamanan KII Federasi Rusia" akan memberikan tanggung jawab atas pelanggaran prosedur untuk mengkategorikan objek KII, pelanggaran persyaratan untuk pembuatan dan pemeliharaan sistem keamanan objek KII yang signifikan, pelanggaran persyaratan untuk memastikan keamanan objek KII yang signifikan, serta pelanggaran perintah. menginformasikan, merespons dan berbagi informasi tentang insiden komputer.
  • Artikel 19.7.15 "Kegagalan untuk memberikan informasi yang ditetapkan oleh undang-undang di bidang memastikan keamanan KII Federasi Rusia" bertanggung jawab atas pelanggaran prosedur untuk memberikan informasi tentang kategorisasi objek KII di FSTEC Rusia, serta kegagalan untuk memenuhi standar untuk pertukaran informasi dengan SOPKA Negara.

Daftar dokumen


Selain tindakan normatif yang dibahas di atas (187-, -127, Perintah FSTEC Rusia No. 31 dan No. 239), saat ini masalah perlindungan KII diatur secara hukum oleh dokumen-dokumen berikut:

  1. Keputusan Presiden Federasi Rusia 15 Januari 2013 No. 31c “Tentang penciptaan sistem negara untuk deteksi, pencegahan dan penghapusan konsekuensi dari serangan komputer terhadap sumber informasi dari Federasi Rusia”, yang berfungsi sebagai titik awal untuk pembentukan Komisi Perlindungan dan Kontrol Sosial Negara dan Pusat Nasional untuk Perlindungan Pemerintah Ukraina.
  2. 22.12.2017 . № 620 « , », , , .
  3. , ( 12.12.2014 â„– 1274), , , .
  4. , 03.02.2012 . â„– 79 .
  5. 17.02.2018 № 162 « » 187- , , . , - . , .
  6. 06.12.2017 . № 227 « ».
  7. 21.12.2017 . № 235 « » , , - , - .
  8. 22.12.2017 . № 236 « ».
  9. 11.12.2017 . № 229 « , ».
  10. 24.07.2018 . № 366 « » , .
  11. 24.07.2018 . № 367 « , , , » , . , (, , , , ) 24 .
  12. 24.07.2018 . № 368 « , , , , , ». ( , №367), (, CERT') , . , (. Indicators Of Compromise, IOCs), (Tactics, Techniques and Procedures, TTPs).
  13. 06.05.2019 № 196 « , , » ( , , ) , , .
  14. 19.06.2019 № 281 « , , , , , , » «» , .
  15. 19.06.2019 № 282 « , , , » ( ) . , , . : 3 , — 24 . , 48 . : , .10 () .

Selain di atas, FSB Federasi Rusia juga mengeluarkan sejumlah dokumen lain tentang perlindungan KII, yang, saat ini, tidak tersedia untuk ditinjau secara gratis:

  • Rekomendasi metodologis dari Layanan Keamanan Federal Federasi Rusia tentang pembentukan pusat departemen dan perusahaan sistem negara untuk mendeteksi, mencegah dan menghilangkan konsekuensi dari serangan komputer terhadap sumber daya informasi dari Federasi Rusia.
  • Rekomendasi metodologis FSB Federasi Rusia tentang deteksi serangan komputer terhadap sumber daya informasi Federasi Rusia.
  • Rekomendasi metodologis FSB Federasi Rusia untuk menetapkan penyebab dan menghilangkan konsekuensi dari insiden komputer terkait dengan berfungsinya sumber daya informasi Federasi Rusia.
  • Rekomendasi metodologis dari NCCCC FSB Federasi Rusia tentang langkah-langkah untuk menilai tingkat perlindungan terhadap serangan komputer.
  • Persyaratan untuk departemen dan pejabat dari subyek SOPKA Negara.
  • Aturan interaksi antara unit FSB Federasi Rusia dan mata pelajaran GosSOPKA dalam pelaksanaan pertukaran informasi di bidang deteksi, pencegahan dan penghapusan konsekuensi dari serangan komputer.

Source: https://habr.com/ru/post/id477812/

More articles:


All Articles